本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector2 的動作、資源和條件索引鍵
Amazon Inspector2 (服務字首:inspector2) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon Inspector2 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateMember | 准許為帳戶與 Amazon Inspector 管理員帳戶建立關聯 | 寫入 | |||
| BatchGetAccountStatus | 准許擷取帳戶的 Amazon Inspector 帳戶相關資訊 | 讀取 | |||
| BatchGetCodeSnippet | 准許擷取有關一個或多個程式碼漏洞問題清單的程式碼片段資訊 | 讀取 | |||
| BatchGetFindingDetails | 准許讓客戶取得調查結果的強化弱點情報詳細資訊 | 讀取 | |||
| BatchGetFreeTrialInfo | 准許擷取帳戶的 Amazon Inspector 帳戶相關免費試用期資格 | 讀取 | |||
| BatchGetMemberEc2DeepInspectionStatus | 准許委派管理員擷取成員帳戶的 ec2 深度檢查狀態 | 讀取 | |||
| BatchUpdateMemberEc2DeepInspectionStatus | 准許委派管理員為其相關聯的成員帳戶更新 ec2 深度檢查狀態 | 寫入 | |||
| CancelFindingsReport | 准許取消產生調查結果報告 | 寫入 | |||
| CancelSbomExport | 准許取消產生 SBOM 報告 | 寫入 | |||
| CreateCisScanConfiguration | 准許建立和定義 CIS 掃描組態的設定 | 寫入 | |||
| CreateFilter | 授予建立和定義問題清單篩選條件設定的許可 | 寫入 | |||
| CreateFindingsReport | 准許請求產生調查結果報告 | 寫入 | |||
| CreateSbomExport | 准許請求產生 SBOM 報告 | 寫入 | |||
| DeleteCisScanConfiguration | 准許刪除 CIS 掃描組態 | 寫入 | |||
| DeleteFilter | 授予刪除問題清單篩選條件的許可 | 寫入 | |||
| DescribeOrganizationConfiguration | 准許擷取 AWS 組織 Amazon Inspector 組態設定的相關資訊 | 讀取 | |||
| Disable | 准許停用 Amazon Inspector 帳戶 | 寫入 | |||
| DisableDelegatedAdminAccount | 准許停用 帳戶做為 AWS 組織的委派 Amazon Inspector 管理員帳戶 | 寫入 | |||
| DisassociateMember | 准許 Amazon Inspector 管理員帳戶與 Inspector 成員帳戶解除關聯 | 寫入 | |||
| Enable | 准許啟用和指定新 Amazon Inspector 帳戶的組態設定 | 寫入 | |||
| EnableDelegatedAdminAccount | 准許將 帳戶啟用為 AWS 組織的委派 Amazon Inspector 管理員帳戶 | 寫入 | |||
| GetCisScanReport | 准許擷取包含已完成 CIS 掃描相關資訊的報告 | 讀取 | |||
| GetCisScanResultDetails | 准許擷取與一個 CIS 掃描和一個目標資源有關的所有詳細資訊 | 清單 | |||
| GetConfiguration | 准許擷取 Amazon Inspector 組態設定的相關資訊 AWS 帳戶 | 讀取 | |||
| GetDelegatedAdminAccount | 准許擷取帳戶的 Amazon Inspector 管理員帳戶相關資訊 | 讀取 | |||
| GetEc2DeepInspectionConfiguration | 准許擷取獨立帳戶、委派管理員和成員帳戶的 ec2 深度檢查組態 | 讀取 | |||
| GetEncryptionKey | 准許擷取用於加密程式碼片段之 KMS 金鑰的相關資訊 | 讀取 | |||
| GetFindingsReportStatus | 准許擷取請求的調查結果報告狀態 | 讀取 | |||
| GetMember | 准許擷取與 Amazon Inspector 管理員帳戶相關聯的帳戶資訊 | 讀取 | |||
| GetSbomExport | 准許擷取請求的 SBOM 報告 | 讀取 | |||
| ListAccountPermissions | 准許擷取與組織內 Amazon Inspector 帳戶相關聯的功能組態許可 | 清單 | |||
| ListCisScanConfigurations | 准許擷取所有 CIS 掃描組態的相關資訊 | 清單 | |||
| ListCisScanResultsAggregatedByChecks | 准許擷取與一次 CIS 掃描相關的所有檢查資訊 | 清單 | |||
| ListCisScanResultsAggregatedByTargetResource | 准許擷取與一次 CIS 掃描有關的所有資源的資訊 | 清單 | |||
| ListCisScans | 准許擷取有關已完成 CIS 掃描的資訊 | 清單 | |||
| ListCoverage | 准許擷取 Amazon Inspector 可為 Inspector 所監控資源產生的統計資料類型 | 列出 | |||
| ListCoverageStatistics | 准許擷取 Amazon Inspector 所監控資源的統計資料及其他相關資訊 | 清單 | |||
| ListDelegatedAdminAccounts | 准許擷取 AWS 組織委派 Amazon Inspector 管理員帳戶的相關資訊 | 清單 | |||
| ListFilters | 授予擷取所有問題清單篩選條件相關資訊的許可 | 列出 | |||
| ListFindingAggregations | 准許擷取 Amazon Inspector 調查結果的統計資料及其他相關資訊 | 列出 | |||
| ListFindings | 授予擷取一或多個問題清單一部分資訊的許可 | 列出 | |||
| ListMembers | 准許擷取與 Inspector 管理員帳戶相關聯的 Amazon Inspector 成員帳戶相關資訊 | 列出 | |||
| ListTagsForResource | 准許擷取 Amazon Inspector 資源的標籤 | 讀取 | |||
| ListUsageTotals | 授予擷取帳戶彙整用量資料的許可 | 清單 | |||
| ResetEncryptionKey | 准許讓客戶重設以使用 Amazon 擁有的 KMS 金鑰來加密程式碼片段 | 寫入 | |||
| SearchVulnerabilities | 准許列出特定漏洞的 Amazon Inspector 涵蓋範圍詳細資訊 | 讀取 | |||
| SendCisSessionHealth | 准許傳送 CIS 掃描的 CIS 運作狀態 | 寫入 | |||
| SendCisSessionTelemetry | 准許為 CIS 掃描傳送 CIS 遙測 | 寫入 | |||
| StartCisSession | 准許啟動 CIS 掃描工作階段 | 寫入 | |||
| StopCisSession | 准許停止 CIS 掃描工作階段 | 寫入 | |||
| TagResource | 准許新增或更新 Amazon Inspector 資源的標籤 | 標記 | |||
| UntagResource | 准許從 Amazon Inspector 資源移除標籤 | 標記 | |||
| UpdateCisScanConfiguration | 准許更新 CIS 掃描組態的設定 | 寫入 | |||
| UpdateConfiguration | 准許更新 Amazon Inspector 組態設定的相關資訊 AWS 帳戶 | 寫入 | |||
| UpdateEc2DeepInspectionConfiguration | 准許委派管理員、成員和獨立帳戶更新 ec2 深度檢查組態 | 寫入 | |||
| UpdateEncryptionKey | 准許讓客戶使用 KMS 金鑰來加密程式碼片段 | 寫入 | |||
| UpdateFilter | 授予更新問題清單篩選條件設定的許可 | 寫入 | |||
| UpdateOrgEc2DeepInspectionConfiguration | 准許委派管理員為其相關聯的成員帳戶更新 ec2 深度檢查組態 | 寫入 | |||
| UpdateOrganizationConfiguration | 准許更新 AWS 組織的 Amazon Inspector 組態設定 | 寫入 |
Amazon Inspector2 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| Filter |
arn:${Partition}:inspector2:${Region}:${Account}:owner/${OwnerId}/filter/${FilterId}
|
|
| Finding |
arn:${Partition}:inspector2:${Region}:${Account}:finding/${FindingId}
|
|
| CIS Scan Configuration |
arn:${Partition}:inspector2:${Region}:${Account}:owner/${OwnerId}/cis-configuration/${CISScanConfigurationId}
|
Amazon Inspector2 的條件索引鍵
Amazon Inspector2 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在標籤索引鍵來篩選存取 | ArrayOfString |
